1.信息安全的目标—预防、检测、恢复 —安全的控制手段
2.预防 — 事前
检测 — 事中或事后
恢复 — 事后
3.风险的概念:表示面临损坏或者丢失的可能性的概念,并说明了发生灾难或者威胁的概率。
* IT设计的时候就应该考虑风险
4.漏洞:任何可能使信息系统遭受损坏的情况。
5.在security+中,控制的手段 预防控制、检测控制、校正控制
6.安全管理流程:确定安全控制、实施安全控制、监控安全控制
7.CIA 机密性 完整性 可用性
8.不可否认性(抗抵赖)、可追责性
9.最小特权:只分配职责的权限
10.特权管理:root、administrator这些账号、SSO是特权管理的一个方面
11.身份认证:Something you know\ have\ are
12.密码学:加密和解密 重要的是秘钥
13.hash(不可逆):数据完整性、不可否认性
14.隐写术:一种加密技巧,得有载体将信息带出去
特权管理:PPM工具,自动化管理,定时修改密码,申请密码后有效期为4小时(可设定),到期后修改密码
安全以业务为导向,
身份验证:密码、令牌、生物识别、地理位置
散列本质数学函数 保证数据完成性 不可逆
系统文件更改,遏制--消除--恢复 事后的活动
CS-IRT SOC 应急救火团队
双因素:
something you know
something you have
something you are
NIST 800系列
COBIT 5
ITIL
ISO/IEC 27001
代理和反向代理
SIEM和DLP
VPN集中器(了解即可,不会考)
安全网关(可以在安全网关上配置上网行为管理限制上网的网速,DLP,垃圾邮件过滤器)
统一威胁管理(UTM):防病毒,防火墙,上网行为管理,IPS/IDS等功能放在同一设备上
下一代防火墙(NGFW):各功能模块可以相互协作,可以减少网络带宽,网络负载,性能比UTM好很多
配置防火墙参数:
启用日志记录功能
禁用不安全的PPTP流量
配置网络IDS
1.配置文件会检测从任何内部ip地址向域控制器发送的所有ICMP流量;包含一个自定义的警报消息;这将是当时Snort检测到的唯一流量
域控制器
*****网络访问控制(NAC):管理设备网络互连访问权限的收集协议,策略和硬件
(对接入内网的设备进行一系列安全标准的检查后才允许接入内网,比如杀毒软件是否是用了最新的病毒库,防火墙等)
外部网络 DMZ(外部DMZ 内部DMZ) 内部网络
空隙(Air gap):从物理上将一个网络与其他所有网络分离的一种隔离做法
子网(子网位于网络层)(在路由器上写acl控制不同子网之间的访问)
虚拟局域网(在数据链路层分割网络的逻辑方法)
网络安全设备的布局:
软件定义网络(SDN):将网络控制系统和流量转发系统分离开来的网络设计方式
云计算的虚拟化(包括1.服务器硬件资源的虚拟化 2.网络的虚拟化 )
dnssec机制用来弥补dns本身设计上的缺陷
SSL/TLS (安全套接字层/传输层安全)
TLS 1.2或1.3 一定要使用最新版本的
安全Shell:一种用于安全远程访问和安全数据传输的协议,在Unix/Linux上使用,在Windows上使用时需要第三方软件
SSH协议簇:不只是ssh,还包括sftp,scp这两个协议
SNMPv3 : 增加了加密支持
smuf攻击的原理
电子邮件协议(SMTP , POP3 ,IMAP)
无线网络安全
hello hi good boy hello hiwhfnvjsidad
ffuhqwukxvevp
jjivfj9e
1791007324
20064689
perimeter:边界
错误:任务2:确定网络基础----确定信息安全基础。
特权管理:管超级账号(root admin 这些服务器管理员账号的)
第一章、确定安全基础
1、安全的基本概念
1)信息安全:保护可用信息或者信息来源不会受到未授权访问,攻击,盗取或数据损坏。
安全风险控制:IT安全(信息技术安全)、物理安全、业务连续性、内部风险等
以业务为导向,划分保护的优先级,对信息进行保护。
2)信息安全的目标(安全的控制手段):
预防,检测,恢复
风险控制:有风险-->控制手段
3)风险:表示了面临损坏或丢失的可能性的概念,并说明了发生灾难霍重大威胁的概率。
安全风险:IT风险、物理安全风险、业务连续性、内部风险等
设计和实施信息安全时,必须将风险考虑在内,安全建设贯穿整个信息系统生命周期
4)漏洞:任何可能使信息系统遭受损坏的情况
5)威胁:可能对资产造成损害的任何事件或行动
6)攻击:在未授权的情况下,利用应用程序或物理计算机系统中的漏洞的技术
7)控制:预防控制、检测控制、恢复控制
8)安全管理流程:PDCA->闭环
计划->执行->检测->处理
2、基本的安全控制
9)安全控制和管理的原则CIA
机密性,完整性和可用性+不可否认性,可追责性。
3、基本的认证和授权概念
10)身份识别:对特定实体的性质声明所有权的过程
11)认证:验证特定实体或个人身份及其唯一凭证的方法,认证因素
你是什么,你有什么,你知道什么
12)授权:确定实体拥有那些权力和权限的过程
13)访问控制:为资源、对象或数据确定并分配权限的过程。
14)计费和审计:跟踪并记录系统活动和资源访问的过程,然后对记录进行审核
15)安全的基本原则
最小特权原则,特权账号管理/SSO,
16)密码、口令、生物识别、地理定位、击键认证、相互认证(https)
单向认证,双向认证
4、基本的加密概念
17)密码学
18)加密,解密,编码,密钥
19)对称加密
20)非对称加密
21)散列,用于验证文件完整性
22)信息隐藏,隐写术
注:前半部分概念,可以参考GBT-20984和GBT-31509,有相细说明。
十一个章节
最佳sh'jian
第一章、安全的基本概念,确定安全基础
路由器
交换机
代理
负载均衡
实现交换功能的路由器
网络风暴(回环)
网络扫描和分析工具
1.数据报分析器
2.协议分析器 -->网络排查
3.网络枚举器
信息安全, 物理安全 ,内部安全, 连续性安全
确定安全基础概念,保护可用信息或信息来源不会受到未授权访问,攻击,盗取或数据损坏。
1负责的个人和机构必须保护他们的机密信息不泄露
2所有形式的数据都必须加以保护
3将商业风险和丢失关键数据造成的其他影响降到了最低
信息安全目标,预防,检测,恢复
风险,表示面临损失或丢失的可能性概念,并说明了发生灾难或重大威胁的概率
业务设计的时候就要有安全概念
任何可能导致信息泄露,系统遭受损坏的情况都属于漏洞,对资产造成损害的任何时间和行动都是威胁,未经授权,利用漏洞,属于攻击
确定安全控制》》实施安全控制》》监控安全控制
机密性 完整性 可用性
密码学,一种隐藏信息的科学,利用数学计算将明文信息转化编码或密文形式的一种安全技术
信息安全风险控制:把风险降低到组织高级管理层可接受程度以内
计费有疑问?
密码管理工具(自动化工具):PiM工具、EPar、tpam(在服务器改密码再传到PPM),不易存excle里
相互认证:https
密码学一本资料
stp协议
生成树
负载均衡分类:链路负载、服务器负载
IVS、array、kemp、wireshark、burpsuit、log、siem、SOC、qrader、Plunk、RSA、NTP、symantec
siem--监控工具 ARP DNS 收集日志 Agnet 事中和事后 时间同步 worm 保护siem的日志安全 防黑客 删除和更改 soc siem csrt
DLP 检测性控制 证据链
VPN 虚拟私有网络 IPSEC SSL
网关:网络出口 大门 防火墙 上网行为管理
统一威胁管理 UTM 放网关 容易单点故障。
下一代防火墙 防火墙配置软件 模拟
NAC 网络访问控制 Airgap
DNS 域名解析服务器 TLS 1.2
https SSL/TLS ssh
SNMP 简单网络管理协议
ICMP 检测联通性 ping 互联网控制消息协议
Smurf攻击----利用ICMP协议漏洞
esp IPSec (工作在三层) AH
无线安全-wpa 暴力破解
wpa2 目前最安全 加密
psk-预共享密钥
代理--应用层 传输层
路由器-网络层(访问控制列表ACL)
交换机-数据链路层 局域网设备 利用交换机端口 绑定MAC STP 生成树协议
代理-中介 端到端 路由-代理服务器 上网行为管理 URL会话
代理是为了安全--上网行为管理 反向代理
防火墙:硬件 或 软件 流量访问控制 最后一条规则:deny all 设置规则 保护内网服务器
负载均衡器 f5 -- 两台网站服务器,用一个数据库
1、抓包工具
协议分析器---功能
数据包分析器--功能
网络枚举器---爬虫
2、IDS
硬件传感器--IDS软件-管理软件
网络IDS--部在网络旁路
主机IDS-部在主机上
3、IPS
IDS+拦截 误报 和 漏报
基于签名----基于已知
基于异常----基于事先定义
启发式---类似人工智能
基于行为和基于异常比较像。
业务连续性
安保安全
生产安全
员工欺诈
PPM :戴尔或者IBM的 特权账号统一管理
一切以业务(业务涉及哪些重要信息)
漏洞:不合理配置 及时补丁 设计缺陷
控制手段-风险
信息安全不同行业不同公司 保护的一起以业务
程度:把风险降低到组织的高级管理层的风险可接受程度以内
预防 检测 修复
你有的,你知的,你是谁
你来自哪儿
击键认证 打字 (你做了什么)
https---相互认证
授权的过程---访问控制
SY-501
